实验六 dns抓包分析

实验六 dns抓包分析

DNS

DNS定义与功能

DNS（Domain Name System，域名系统）是一种层次结构的基于域的命名方式和实现这种命名方式的分布式数据库，它记录了各种主机域名与IP地址的对应关系，使用户能够更方便地访问网站，用户输入域名时，DNS将域名解析为IP地址，然后根据这个IP地址找到相应的网站,通过主机名获取到主机名对应IP地址的过程称为域名解析。

DNS报文格式

DNS报文由多个字段组成,每个字段都有特定的用途。

• 标识（Transaction ID）：用于区分DNS应答报文对应的请求报文，在请求报文和相应的应答报文中,该字段是一致的。
• 标志（Flag）：包含QR（Query/Response）、Opcode（操作码）、RD（Recursion Desired）、RA（Recursion Available）等标志位，分别表示查询或响应、操作类型、是否需要递归查询等。
• 问题（Question）部分：包含一个或多个资源记录，每个资源记录包括域名和相应的问题类型（如A记录、MX记录等）。
• 回答（Answer）部分：包含对问题的响应结果,即域名对应的IP地址等信息。
• 授权（ Authority）部分：包含下级权威DNS服务器的信息,用于递归查询时找到正确的权威DNS服务器。
• 额外（Additional）部分：包含其他相关资源记录，如NS记录（名称服务器记录）等。

使用Wireshark抓包分析DNS

Wireshark简介

Wireshark是一款流行的网络协议分析工具，可以捕获并分析网络上的数据包，通过Wireshark，可以深入了解DNS查询和响应的过程,找出可能存在的问题或异常行为。

配置DNS服务器

在进行DNS抓包分析之前，需要配置DNS服务器，可以在本地计算机上设置DNS服务器IP地址，或者使用外网公用的DNS服务器，电信、移动等宽带会根据不同地域指定不同的DNS服务器IP地址，深圳电信常用的DNS地址是202.96.134.133。

触发DNS查询

可以通过多种方式触发DNS查询，其中最常用的方法是使用dig命令，dig是一个命令行工具，用于查询DNS记录,执行以下命令可以触发DNS查询：

dig example.com

这将查询example.com的A记录，并将结果展示在终端中,Wireshark也会捕获到相关的DNS数据包。

Wireshark抓包过程

1. 打开Wireshark并选择适当的网络接口进行抓包。
2. 执行dig命令或其他方法触发DNS查询。
3. Wireshark会自动捕获并显示相关的DNS数据包。
4. 在Wireshark界面中，可以根据需要过滤和查看特定的DNS数据包，可以使用过滤器如dns来仅显示DNS数据包。

DNS报文分析

在Wireshark中捕获到的DNS数据包中，可以看到详细的报文内容,以下是一些关键字段的解释：

• QR：Query/Response标志，0表示查询报文,1表示响应报文。
• Opcode：操作码，指示DNS操作的类型，如查询（QUERY）、响应（RESPONSE）等。
• AA：Authoritative Answer标志,表示此响应是由权威DNS服务器返回的。
• TC：Truncate flag,表示响应被截断。
• RD：Recursion Desired标志,表示客户端希望使用递归查询。
• RA：Recursion Available标志,表示服务器支持递归查询。
• Z：保留字段,目前未使用。
• RCODE：响应代码，表示响应的状态，如成功（0）、格式错误（1）等。

相关问题与解答

如何判断一个DNS查询是否使用了递归查询？

答：可以通过检查DNS报文中的RD（Recursion Desired）标志位来判断，如果RD=1，则表示客户端希望使用递归查询；如果RD=0,则表示客户端不希望使用递归查询。

为什么有时候DNS解析会超时？

答：DNS解析超时可能有多种原因,包括但不限于以下几点：

• DNS服务器负载过高：当DNS服务器处理大量查询请求时,可能会导致响应延迟或超时。
• 网络问题：网络连接不稳定或速度较慢也可能导致DNS解析超时。
• 防火墙或安全软件拦截：某些防火墙或安全软件可能会阻止DNS查询请求,导致解析超时。